Разработчик испортил свой проект с целью «наказать» корпорации

Чт 13 Январь 2022 13:42

Пользователи популярных библиотек с открытым исходным кодом colors и faker были ошеломлены , увидев как их приложения, использующие эти библиотеки, начали печатать тарабарщину и выходить из строя. По словам пользователей, сообщения включали текст «LIBERTY LIBERTY LIBERTY», за которым следовала последовательность символов, отличных от ASCII.

Как предполагали пользователи, npm-библиотеки были скомпрометированы, однако на самом деле разработчик библиотек намеренно ввел бесконечный цикл, блокировав тысячи зависящих проектов.

Библиотека colors насчитывает более 20 млн загрузок в неделю только на портале npm, и ее используют почти 19 тыс. проектов. Библиотека faker, в свою очередь, насчитывает более 2,8 млн загрузок на npm и от нее зависят более 2,5 тыс. проектов.

Разработчик по имени Марак Сквайрс (Marak Squires) добавил новый модуль в библиотеку версию colors.js v1.4.44-liberty-2, которую он затем отправил на GitHub и npm. Испорченные версии 1.4.1 и 1.4.2 также появились в npm. Введенный в код цикл запускает бесконечную печать последовательности символов, отличных от ASCII. Аналогичным образом, на GitHub и npm была опубликована саботированная версия faker 6.6.6.

Причиной этого злодеяния со стороны разработчика, по-видимому, является возмездие против мегакорпораций и коммерческих потребителей проектов с открытым исходным кодом, которые широко полагаются на бесплатное программное обеспечение, поддерживаемое сообществом.

В ноябре 2020 года Марак предупредил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и что коммерческим организациям следует рассмотреть возможность либо разветвления проектов, либо выплаты разработчику годовой «шестизначной» зарплаты.

Сообщается, что GitHub заблокировал учетную запись разработчика, вызвав неоднозначную реакцию пользователей.

«Удаление собственного кода из GitHub является нарушением их Условий обслуживания? Нам нужно начать децентрализацию хостинга исходного кода бесплатного программного обеспечения», — прокомментировал ситуацию инженер-программист Серхио Гомес (Sergio Gómez).

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 148 дней 14 часов 9 минут 53 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.